Postfix: Absender von autorisierter Quelle

[coltseavers]

Hallo zusammen,

erschrocken habe ich vor kurzem festgestellt, dass mein Postfix beim Annehmen von Mails nicht prüft, ob die Mail von einem für die Absenderdomain autorisierten Mailserver kommt. (Ich dachte bislang, das würde geprüft).
Das Prozedere stelle ich mir so vor:
Eine Mail kommt mit Absender info@domain1.xy von IP 999.999.999.999
Prüfe, ob IP 999.999.999.999 autorisiert ist Mails für domain1.xy zu versenden:

1) Mache einen Reverse DNS -> Ergebnis: webserver123.hoster123.xy
2) Rufe MX-Eintrag zu domain1.xy ab.
3) Wenn MX-Eintrag zu domain1.xy ungleich zu webserver123.hoster123.xy -> dann Absender nicht autorisiert = Spam.


Folgende Fragen hätte ich dazu:
Ist es richtig dieses Prozedere als Spamschutz anzuwenden, oder habe ich nen Denkfehler / irgendeinen Aspekt nicht bedacht?

Ich habe mal in der Muster-Konfiguration vom Postfix-Buch geschaut. Dort wird eine solche Prüfung interessanterweise nicht vorgenommen. Warum nicht? Ist die Prüfung möglicherweise zu aufwendig? Belastet sie möglicherweise zu sehr das DNS-System?
Weil sonst könnte man so doch bestimmt ne Menge Spam blocken, oder?

In der Musterkonfiguration werden nur "reject_unknown_sender_domain" und "reject_non_fqdn_sender" gesetzt.
Aber diese Beschränkungen schützen ja nicht vor nicht autorisierten Absendern.

[Joe User]

Deine "Prüfung" macht keinen Sinn, da der sendende Server nicht zwingend der MX sein muss.
Beispiel:
Nehmen wir an, das RootForum würde Webserver und Mailserver auf zwei physisch getrennten Blechen betreiben, dann würdest Du die durch die Forensoftware auf dem Webserver versendeten Mails nicht erhalten, weil sie von einer IP ungleich MX stammen. Spam sind sie aber nicht.

Ansonsten hier eine Beispielkonfiguration welche den meisten Spam zuverlässig verwirft (in Reihenfolge abarbeiten und ans eigene System anpassen):
https://www.rootservice.org/en/howtos/f ... er/dovecot
https://www.rootservice.org/en/howtos/f ... er/postfix
https://www.rootservice.org/en/howtos/f ... r/opendkim
https://www.rootservice.org/en/howtos/f ... /opendmarc

[coltseavers]

Hmm,
wenn es also ohnehin üblich sein soll Mails von jeder IP und gefälschten Absendedomains anzunehmen, wofür setze ich dann für meinen Mail-Server einen Reverse-Lookup?
Ist dieser nicht extra für annehmende Mailserver da, um den Absender zu legitimieren?
Gibt es dafür nicht auch RFC-Vorgaben?

Das von Dir beschriebene Szenario kenne ich natürlich, genau das Problem habe ich gerade auch:
Ein Kunde von mir erhält von ausserhalb gefälschte Mails mit firmeninternen Absender-Mail-Adressen, und natürlich gefälschten Inhalten.
Also hab ich in Postfix definiert, dass Mails mit firmeninternen Absendern nur von "my_networks" und "sasl_authenticated" angenommen werden. Da der Kunde aber ne Webseite auf nem anderen Server betreibt und von dort aus Mails mit fingierten, firmeninternen Absendern versendet werden, werden diese nun natürlich nicht mehr angenommen.

Klar, ich kann den Webserver einfach in "my_networks" aufnehmen und gut ist.
Aber sauber kommt mir das nicht vor. Ich möchte ja auch sicherstellen, dass der Kunde über die Webseite einen Newsletter versenden kann. Wenn er das auf die gleiche Weise tut, habe ich Sorge, dass einige annehmenden Mailserver den Ursprung des Newsletters prüfen und ihn deshalb möglicherweise als Spam hochstufen könnten.
Sorge unberechtigt?

[Joe User]

Der "Reverse-Lookup" wird zwar gerne als Indikator für Spam vs. Non-Spam genutzt, aber nur, weil manche Spammer zu faul waren, diesen korrekt zu setzen.
Es gibt aber auch viele legitime Mailserver (auch von grossen Mailprovidern) welche einen fehlenden oder fehlerhaften "Reverse-Lookup" produzieren, so dass dieser alleine nicht als Kriterium taugt.
Wer seine Server und DNS-Records nach RFC konfiguriert, hat automatisch auch einen sauberen funktionierenden "Reverse-Lookup", allerdings gibt es keine Pflicht sich an RFCs zu halten und einige tun es leider auch nicht.

Was Du für Dich und Deinen Kunden suchst, sind SPF, DKIM und DMARC und mynetworks+sasl_authenticated (wie von Dir beschrieben) sowie für Deinen Postfix die postscreen und smtpd_*_restrictions Config aus meinem HowTo.

Mehr kannst Du nicht tun und Dein Kunde muss sich halt daran halten, sich erst an Deinem Postfix mittels User/Pass (SASL-AUTH) anzumelden bevor er seine Mails verschickt. Auch sollte (muss aber nicht) er künftig nicht mit irgendwelchen fingierten Mailadressen um sich werfen, das veringert die Gefahr von den https://en.wikipedia.org/wiki/Joe_job (die Du beobachtet hast) ein wenig.